Обновление сертификатов SoftControl Server

Статья относится к SoftControl 6.0. Для более поздних версий статья также может быть актуальной.

Описание задачи

SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.

Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.

В версии SoftControl 6.0 было произведено обновление форматов сертификатов для устранения уязвимостей в старых версиях форматов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.

Процедура обновления сертификатов

В целом процедура обновления сертификатов выглядит следующим образом:

1. Обновите SoftControl Server на версию 6.0.
2. Обновите сертификаты сервера и клиентов.
3. Обновите клиентские компоненты SoftControl на версию 6.0.

Самым сложным шагом в этой процедуре является второй, обновление сертификатов сервера и клиентов. Для его выполнения сделайте следующее:

1. Войдите в Admin Console от имени пользователя с правами администратора.
2. Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление центрами сертификации (CA)".

   

3. В открывшемся окне "Управление центрами сертификации (CA)" сгенерируйте новый сертификат сервера, нажав кнопку "Сгенерировать".

   
   Обратите внимание, что новый сертификат сервера будет иметь в своём названии указание на то, что он является EKU-сертификатом (новый, более безопасный тип сертификатов).

   

4. Нажмите кнопку "Применить" и закройте окно "Управление центрами сертификации (CA)".
5. Разошлите новый сертификат на все клиентские компоненты системы SoftControl. Для этого произведите хотя бы одну операцию смены настроек для каждого клиентского компонента (новый сертификат присылается сервером на клиентский компонент при любой операции смены настроек). Важно обеспечить отправку сертификата на все клиентские компоненты, иначе при переключении сервера на использование нового сертификата клиентские компоненты более не смогут соединиться с ним.
6. Вновь откройте окно управления сертификатами и переключите сервер на использование нового сертификата. Новый сертификат при этом станет текущим, а текущий (старый) более не будет использоваться.

   

7. Перезапустите службу сервер управления используя интерфейс командной строки:

   net stop "safensoft server"

   net start "safensoft server"

8. Убедитесь, что клиенты подключаются к серверу.
9. После перезапуска сервера управления будет сгенерирован новый сертификат первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот сертификат необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.